Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Gestion des risques liés à la cybersécurité > Votre backlog de sécurité devient une arme : ce que le rapport 2025 sur la gestion des expositions implique pour les contenus sensibles

Votre backlog de sécurité devient une arme : ce que le rapport 2025 sur la gestion des expositions implique pour les contenus sensibles

par Patrick Spencer updated octobre 28, 2025 Gestion des risques liés à la cybersécurité
temps de lecture: 10 minutes

Voici de quoi mettre mal à l’aise tout RSSI

Cette faille vieille de trois ans que vous deviez corriger ? Les attaquants viennent de trouver comment l’exploiter en moins d’une heure, grâce aux outils de codage assistés par l’IA qui transforment votre backlog en liste de courses.

L’Exposure Management Index 2025 d’Intruder a analysé plus de 3 000 petites et moyennes entreprises, et les résultats dressent un tableau à la fois rassurant et inquiétant. Oui, les équipes corrigent plus vite les failles critiques : 89 % sont désormais corrigées en moins de 30 jours, contre 75 % en 2024. Mais le coup dur, c’est que les vulnérabilités à haut risque augmentent de 19 % d’une année sur l’autre, et que les attaquants ont compris que votre « catalogue d’anciennes CVE » est plus facile à exploiter que jamais.

Pour les organisations qui gèrent du contenu sensible — documents financiers, dossiers médicaux, données clients, propriété intellectuelle — ce changement représente un risque existentiel. Quand les attaquants ciblent les systèmes exposés sur Internet qui protègent vos données les plus précieuses, une seule faille « haute » non corrigée peut faire la différence entre une activité normale et une lettre de notification de violation.

Voyons ce que ces données signifient pour votre programme de sécurité, vos obligations de conformité et votre capacité à protéger les contenus les plus sensibles.

Résumé des points clés

  1. Les vulnérabilités à haut risque sont le nouveau champ de bataille

    Si les failles critiques se stabilisent, les vulnérabilités à haut risque ont bondi de 19 % d’une année sur l’autre (281 → 334 en moyenne par organisation). Une faille « haute » sur un système de transfert de fichiers exposé sur Internet ou un fournisseur d’identité peut être tout aussi dévastatrice qu’une critique : concentrez-vous sur l’exposition et les conséquences, pas seulement sur les étiquettes de gravité.

  2. Vos failles vieilles de trois ans sont activement exploitées

    Le codage assisté par l’IA a réduit le temps nécessaire pour créer des exploits fonctionnels de plusieurs semaines à quelques heures. Les attaquants exploitent le « catalogue d’anciennes CVE » parce qu’elles sont plus faciles à exploiter que de découvrir de nouvelles vulnérabilités. Ce backlog vieillissant n’est pas une dette technique : c’est une menace active.

  3. La correction en moins de 30 jours devient la norme — et c’est possible

    Les organisations corrigent désormais 89 % des failles critiques en moins de 30 jours (contre 75 % en 2024). L’Amérique du Nord a réduit le délai moyen de correction de 37 à 16 jours. Ce n’est plus un objectif ambitieux : c’est le standard auquel vos auditeurs s’attendront.

  4. Le « find-fix gap » est votre plus grande vulnérabilité

    Les équipes de sécurité détectent rapidement les problèmes, mais seules les équipes infrastructure et DevOps peuvent les corriger. Les organisations avec moins de transferts, d’approbations et de lourdeurs administratives agissent deux fois plus vite. Les petites entreprises (14 jours) devancent les moyennes (17 jours) non pas par leurs ressources, mais grâce à l’efficacité de leurs processus.

  5. L’infrastructure exposée sur Internet est l’autoroute des attaquants

    Les plus grandes failles de l’année — ToolShell (SharePoint), Palo Alto PAN-OS, Apache mod_rewrite — ont toutes visé des systèmes périmétriques et des infrastructures d’identité. Si un système est exposé sur Internet et manipule des données sensibles, il doit être indispensable, authentifié, surveillé et corrigé immédiatement.

Changement de gravité : pourquoi le « haut » est le nouveau critique

Le message du rapport 2025 est clair : les failles critiques se stabilisent, mais les vulnérabilités à haut risque explosent. Les organisations ont vu leur nombre moyen de vulnérabilités à haut risque passer de 281 à 334 — soit une hausse de 19 % qui correspond à une augmentation de 34 % des CVE à haut risque dans l’ensemble de l’écosystème.

Pourquoi faut-il se soucier des failles « hautes » ?

Parce que les scores de gravité sont des points de départ, pas des fins en soi. Une faille « haute » sur un système de transfert sécurisé de fichiers, un portail client ou un fournisseur d’identité exposé sur Internet n’est pas qu’un simple constat : c’est une arme pointée sur vos données les plus sensibles. Le système de classification indique le potentiel de gravité ; l’exposition et les conséquences indiquent l’impact réel si la faille est exploitée.

Regardez le schéma des violations actuelles : elles ne commencent presque jamais par des zero-days sophistiqués. Elles exploitent des failles connues à des endroits prévisibles : la passerelle VPN qui protège votre dépôt documentaire, le pare-feu de votre plateforme de collaboration, le fournisseur d’identité qui contrôle l’accès aux fichiers clients. Ces systèmes sont volontairement exposés car ils doivent rester accessibles. Lorsqu’ils sont vulnérables, l’exploitation devient massive et dévastatrice.

Pour les organisations utilisant des plateformes de partage sécurisé de fichiers et de communication, cela crée un point de pression particulier. Vos appliances de sécurité et votre infrastructure périmétrique ne protègent pas seulement votre réseau : elles protègent le cœur de votre activité. Chaque faille à haut risque non corrigée dans ces systèmes est une porte ouverte.

Usine à exploits dopée à l’IA : vos vieux problèmes reviennent en force

Et c’est là que ça devient vraiment inquiétant : les attaquants exploitent de plus en plus des vulnérabilités vieilles d’un, deux, voire trois ans. Pourquoi ? Le codage assisté par l’IA a considérablement abaissé la barrière pour créer du code d’exploitation fiable. Ce qui prenait des semaines à des chercheurs aguerris prend désormais quelques heures à des acteurs malveillants de niveau intermédiaire.

Les chiffres le confirment. Les « vulnérabilités de l’année » 2025 ressemblent à un best-of des failles périmétriques et des infrastructures omniprésentes :

ToolShell : le cauchemar du samedi matin

La CVE-2025-53770 de Microsoft SharePoint illustre parfaitement la « tempête parfaite ». Exécution de code à distance sans authentification sur des systèmes souvent liés à Active Directory, avec une divulgation un samedi, moment où beaucoup d’équipes n’assurent pas la veille. Le correctif a tardé après la divulgation, créant une fenêtre d’exploitation de plusieurs jours.

Si votre organisation utilise SharePoint pour la collaboration et la gestion documentaire, cela doit vous alerter. Les équipes qui ont réagi en premier ont eu une chance de limiter les dégâts. Celles qui ont raté les premiers jours ? Elles risquaient déjà d’être confrontées à des scénarios de post-exploitation, avec des attaquants déjà présents dans leurs dépôts de documents.

Palo Alto PAN-OS : quand « corrigé » ne l’est pas vraiment

La faille de contournement d’authentification (CVE-2025-0108) rappelle brutalement que la sécurité n’est jamais acquise. Les protections ajoutées après un précédent contournement se sont révélées incomplètes. Les attaquants ont combiné différentes manières dont Apache, Nginx et PHP traitent les requêtes pour contourner l’authentification sur les interfaces d’administration.

Quand l’authentification échoue sur une interface d’administration de pare-feu, l’impact est immédiat et catastrophique. Pour les organisations qui protègent le transfert sécurisé de fichiers et les communications derrière des appliances de sécurité, c’est le scénario catastrophe : les systèmes censés protéger vos données deviennent la porte d’entrée.

Apache mod_rewrite : ubiquité rime avec opportunité

La CVE-2024-38475 prouve que les composants massivement déployés restent les vecteurs d’impact les plus rapides. La longue traîne des installations Apache fait que les bugs applicatifs continuent d’alimenter les kits d’exploit, car la base installée est énorme et lente à mettre à jour.

Le point commun de ces trois cas est limpide : l’infrastructure exposée sur Internet, proche de l’identité et massivement déployée, reste l’autoroute des attaquants visant les données sensibles.

Paradoxe de la vitesse : aller plus vite, mais rester à la traîne

Passons aux bonnes nouvelles — car il y en a. Les organisations accélèrent nettement la correction des failles. En Amérique du Nord, le délai moyen de correction des failles critiques est passé de 37 à 16 jours. L’Europe compte en moyenne 100 failles critiques de moins par organisation que ses homologues nord-américains, même si elle gère plus de failles à haut risque (423 contre 248).

Le fait que 89 % des failles critiques soient corrigées en moins de 30 jours est un vrai progrès. Cela montre que lorsque les organisations fluidifient leurs processus, responsabilisent les équipes et éliminent les lourdeurs administratives, elles peuvent avancer au rythme imposé par les menaces actuelles.

Mais voici le paradoxe : même si la vitesse de correction augmente, le volume et la rapidité des vulnérabilités exploitables continuent de croître. Vous courez plus vite, mais la ligne d’arrivée s’éloigne. Pour les organisations qui gèrent du contenu sensible, cela crée un état de chaos maîtrisé permanent : vous progressez, mais vous ne rattrapez jamais vraiment le retard.

La mine d’or de la conformité cachée dans vos métriques

Pour les responsables conformité et privacy, le seuil de correction à 30 jours représente bien plus qu’un indicateur de sécurité : c’est une preuve vérifiable de l’efficacité des contrôles.

Les régulateurs et les clients grands comptes exigent de plus en plus des preuves, pas des promesses. Ils attendent :

  • Des inventaires d’actifs avec des responsables clairement identifiés
  • Une justification de la gravité qui explique les choix de priorisation
  • Des validations de changements avec des justifications métier documentées
  • Des horodatages de correction qui prouvent la rapidité de la réponse
  • Une gestion des exceptions qui démontre la maturité de la gestion des risques

Le passage à la correction sous 30 jours pour les failles critiques crée un objectif concret et mesurable que les auditeurs peuvent vérifier. Ce n’est plus un vœu pieux : les chiffres prouvent que c’est possible à grande échelle.

Pour les organisations soumises à des réglementations comme le RGPD, HIPAA, DORA ou la directive NIS 2, l’exposition management crée un pont essentiel entre opérations de sécurité et preuves de conformité. Chaque vulnérabilité détectée, priorisée et corrigée génère des éléments qui soutiennent directement les exigences réglementaires en matière de sécurité des traitements, de résilience opérationnelle et de capacité de réponse aux incidents.

Pensez aux implications concrètes pour le risque de notification de violation. Les RCE non authentifiées et les contournements d’authentification sur des systèmes exposés sur Internet — en particulier les fournisseurs d’identité, plateformes de transfert sécurisé de fichiers et interfaces d’administration — augmentent fortement la probabilité d’exposition de données personnelles. L’exposition management ne réduit pas seulement le risque technique : il diminue la probabilité d’atteindre les seuils de notification de violation, et donc les coûts réglementaires, financiers et réputationnels associés.

Find-Fix Gap : là où les bonnes intentions échouent

Le rapport révèle une réalité inconfortable sur la taille des organisations et la rapidité de correction. En 2024, les entreprises de moins de 50 salariés corrigeaient les failles critiques près de deux fois plus vite que celles de 51 à 2 000 salariés (20 jours contre 38 jours). En 2025, l’écart se réduit à 14 contre 17 jours — un progrès, mais l’écart subsiste.

Pourquoi les petites équipes vont-elles plus vite ? La réponse est simple : moins de transferts, moins d’approbations, moins de poids du passé.

Les équipes de sécurité détectent et priorisent les failles avec une grande efficacité. Les outils de scan modernes, les flux de threat intelligence et la découverte automatisée des actifs rendent la détection simple. Mais elles ne peuvent pas corriger les vulnérabilités : seuls les ingénieurs infrastructure, les équipes DevOps et les développeurs produits en sont capables. Chaque transfert entre détection et correction ajoute de la friction, des délais et le risque que le problème s’éternise dans un backlog.

Les données sectorielles illustrent parfaitement cette dynamique :

  • Les éditeurs de logiciels sont les meilleurs élèves, passant de 24 à 13 jours pour corriger une faille critique. Les workflows cloud, les pipelines de déploiement automatisés et les capacités de rollback rapide sont de vrais atouts.
  • Les services financiers font marche arrière : de 14 jours en 2024 à 22 jours en 2025. La complexité du SI, les exigences strictes de gestion du changement et une culture du risque très prudente expliquent sans doute ce ralentissement. Quand on gère des données financières clients sous forte pression réglementaire, la peur de perturber l’activité peut paradoxalement ralentir la correction des failles critiques.
  • Les services de santé restent autour de 20 jours pour la correction, avec des défis spécifiques liés aux systèmes cliniques exposés sur Internet et aux plateformes collaboratives qui ne peuvent pas être mises hors ligne longtemps.
  • Les services professionnels progressent nettement (de 29 à 21 jours), même si maintenir ce rythme en période de pic d’activité client reste un défi.

Pour les organisations qui gèrent du contenu sensible dans ces secteurs, la leçon est claire : la distance entre votre équipe sécurité et votre équipe ingénierie se mesure en jours d’exposition. Réduisez les transferts, éliminez la bureaucratie et donnez le pouvoir à ceux qui peuvent appliquer les correctifs.

Six actions qui font vraiment la différence

Assez de diagnostic : voyons ce qui fonctionne vraiment. Les organisations qui atteignent la correction sous 30 jours et maîtrisent leur exposition partagent des pratiques communes :

  1. Réduisez sans pitié votre surface exposée sur Internet
    Chaque système exposé sur Internet est une porte d’entrée potentielle. Auditez ce qui est exposé, demandez-vous si c’est indispensable, et supprimez tout ce qui ne passe pas le test « nécessaire et défendu ». Pour le partage sécurisé de fichiers, cela signifie s’assurer que seuls les systèmes authentifiés, surveillés et protégés sont exposés au public.
  2. Repriorisez votre triage
    Les failles critiques méritent toujours une attention immédiate, mais la hausse des vulnérabilités à haut risque impose de ne pas les ignorer tant que la file des critiques n’est pas vide. Priorisez selon :

    • Exploitabilité (un code d’exploit existe-t-il ?)
    • Exposition (le système est-il exposé sur Internet ?)
    • Rayon d’impact (quelles conséquences en cas de compromission ?)
    • Sensibilité des données (protège-t-il du contenu réglementé ou à forte valeur ?)

    Une faille à haut risque sur la couche d’authentification de votre gestion documentaire mérite plus d’attention urgente qu’une faille critique sur un serveur de test interne.

  3. Formalisez les SLA sous 30 jours avec visibilité au plus haut niveau
    Faites des objectifs de correction à 30/60/90 jours une règle officielle. Intégrez-les à un tableau de bord examiné chaque trimestre par le board. Si vous ne pouvez pas mesurer et reporter ces métriques aujourd’hui, commencez par corriger le système de mesure. Les chiffres prouvent que ces délais sont atteignables : rendez-les obligatoires.
  4. Réduisez le « find-fix gap »
    Confiez la correction au plus près des équipes capables d’agir. Pour les infrastructures critiques et appliances de sécurité, prévoyez des fenêtres de changement d’urgence pré-approuvées pour les alertes périmétriques. Documentez le processus d’approbation, mais rendez-le rapide. La différence entre 16 et 37 jours de délai moyen tient souvent au nombre de validations imposées.
  5. Traitez votre écosystème fournisseurs comme votre propre infrastructure
    La gestion des risques tiers et le shadow IT élargissent votre surface d’attaque, parfois de façon invisible. L’inventaire des actifs doit inclure les environnements fournisseurs et les services « non approuvés mais utilisés ». Les SLA contractuels avec les fournisseurs doivent refléter les mêmes attentes 30/60/90 jours que vous appliquez en interne. Si un fournisseur gère des systèmes en contact avec vos données sensibles, sa rapidité de correction est la vôtre.
  6. Intégrez la conformité dès le départ
    Collectez les preuves au fil de l’eau : listes d’actifs, décisions de gravité, horodatages, validations, justifications d’exception. Mappez-les aux référentiels réglementaires et aux exigences clients dès le premier jour. Quand votre programme d’exposition management sert aussi de référentiel d’audit, votre prochaine évaluation ne sera plus un exercice de crise, mais une simple extraction de données.

Effet réglementaire régional

Les données révèlent un point intéressant sur l’impact de la pression réglementaire. Les organisations européennes affichent environ 100 failles critiques de moins par entreprise que leurs homologues nord-américaines. Les partisans de DORA, NIS 2 et du Cyber Resilience Act y verront une première preuve que les cadres réglementaires changent les comportements.

Le rapport reste prudent : il est trop tôt pour crier victoire, et les organisations européennes gèrent toujours plus de failles à haut risque. Mais la tendance suggère que la pression externe, qu’elle vienne des régulateurs ou de clients exigeants, accélère les progrès en sécurité.

Vous n’avez pas besoin d’une obligation pour adopter ces pratiques, mais si vous faites face à des exigences réglementaires ou contractuelles, servez-vous-en pour obtenir le budget, les effectifs et le soutien de la direction dont votre programme a besoin.

Joker IA : code rapide, failles rapides

Voici une réalité inconfortable : les mêmes outils de développement assistés par l’IA qui accélèrent vos livraisons logicielles accélèrent aussi la mise en production de code vulnérable. Si l’IA aide vos développeurs à livrer plus vite, elle leur permet aussi de livrer des failles plus vite.

La solution n’est pas d’interdire le développement assisté par l’IA : ce temps est révolu. Traitez plutôt le code généré par l’IA comme tout composant de votre supply chain. Appliquez les mêmes revues, scans de sécurité automatisés et exigences de tests à ces livrables avant la mise en production. Votre programme de gestion des vulnérabilités doit intégrer l’accélération du développement légitime comme des risques de sécurité potentiels.

Trois priorités pour ce trimestre

Les données de plus de 3 000 organisations tracent la feuille de route. Voici où concentrer vos efforts pour un impact maximal :

  1. Auditez votre infrastructure exposée sur Internet, en particulier les systèmes qui protègent ou donnent accès à du contenu sensible. Si un système est exposé, il doit être indispensable, correctement authentifié, surveillé en continu et protégé par des contrôles de sécurité à jour. Tout le reste doit être déplacé derrière des couches de protection supplémentaires ou supprimé.
  2. Repriorisez votre triage vers les failles à haut risque pour lesquelles un code d’exploit existe, surtout dans les anciennes CVE. Le « catalogue d’anciennes failles » est bien vivant et les attaquants recyclent les vulnérabilités vieilles de trois ans plus vite que vous ne les corrigez. Construisez des playbooks spécifiques pour les classes de failles mises en avant dans le rapport — RCE non authentifiées, contournements d’authentification, failles sur des infrastructures omniprésentes — et entraînez-vous à les exécuter.
  3. Institutionnalisez le benchmark de correction sous 30 jours pour les failles critiques. Inscrivez-le dans vos politiques, appliquez-le dans les opérations, prouvez-le lors des audits. Faites-en un KPI visible dans les tableaux de bord du board et les revues de direction. Les chiffres prouvent que ce délai est atteignable, quelle que soit la taille ou le secteur : il n’y a plus d’excuse pour aller moins vite.

À retenir : la vitesse compte, mais la priorité compte encore plus

L’Exposure Management Index 2025 délivre un message sans détour, et cette clarté est précieuse. Les organisations qui gèrent le risque le plus efficacement ne cherchent pas à corriger toutes les failles : elles réduisent leur exposition sur Internet, priorisent celles qui changent la donne et rendent leurs corrections visibles et vérifiables.

Pour les organisations qui gèrent du contenu sensible, l’enjeu est particulièrement élevé. Chaque système exposé sur Internet qui protège des documents, des communications ou des données est une porte d’entrée potentielle. Chaque contournement d’authentification, chaque RCE non corrigée, chaque vieille CVE avec un nouvel exploit représente une menace directe pour le contenu dont vous avez la charge.

La bonne nouvelle ? Les délais de correction s’améliorent. Les outils existent. Les benchmarks sont atteignables. Ce qui distingue les organisations qui réussissent de celles qui peinent, ce n’est ni le budget ni les effectifs : c’est la priorité, la discipline des processus et la volonté de mesurer et de reporter ce qui compte vraiment.

Votre backlog sécurité n’est plus seulement une dette technique. C’est une arme pointée sur votre organisation par des adversaires capables de l’exploiter plus vite que vous ne pouvez la corriger. La vraie question n’est pas de savoir si vous allez améliorer votre programme d’exposition management, mais si vous le ferez avant qu’un attaquant ne transforme votre backlog en brèche majeure.

Foire aux questions

L’exposition management est une démarche continue de sécurité qui consiste à recenser tous les actifs exposés sur Internet, à prioriser les vulnérabilités selon leur exploitabilité et leur impact potentiel, et à prouver que la correction a bien eu lieu. Elle comble le fossé entre le scan de vulnérabilités et la preuve de conformité, rendant votre programme de gestion des vulnérabilités à la fois plus efficace et plus auditable.

Les deux à la fois. Les vulnérabilités à haut risque augmentent de 19 %, mais la vitesse de correction s’améliore nettement : 89 % des failles critiques sont désormais corrigées en moins de 30 jours. La pression se déplace plutôt qu’elle ne disparaît. Les organisations qui adaptent leur triage et fluidifient leurs workflows de correction gardent une longueur d’avance ; celles qui s’accrochent aux méthodes traditionnelles prennent du retard.

L’infrastructure exposée sur Internet et les appliances proches de l’identité sont les cibles les plus recherchées. Appliances de sécurité (VPN, pare-feux), fournisseurs d’identité, systèmes de transfert sécurisé de fichiers et interfaces d’administration des infrastructures critiques. Quand l’authentification échoue ou qu’une exécution de code à distance devient possible sur ces systèmes, les attaquants accèdent immédiatement à des données sensibles et à des fonctions critiques.

Les premières données montrent que les organisations européennes comptent environ 100 failles critiques de moins par entreprise que leurs homologues nord-américaines, ce qui pourrait indiquer que des cadres comme DORA, NIS 2 et le Cyber Resilience Act influencent les comportements. Cependant, les organisations européennes gèrent toujours davantage de failles à haut risque, donc l’impact reste nuancé et évolutif.

Les indicateurs clés incluent le pourcentage de failles critiques corrigées sous 30 jours, l’âge moyen des failles hautes et critiques non corrigées, le temps de correction par type d’actif, l’exhaustivité des preuves d’audit (tickets, horodatages, validations), la conformité des SLA fournisseurs et les résultats des exercices de réponse aux alertes. Ces métriques relient opérations de sécurité et exigences de conformité, offrant une visibilité utile aux deux fonctions.

Les outils de codage assistés par l’IA ont considérablement abaissé la barrière pour créer du code d’exploitation fonctionnel. Les failles vieilles d’un, deux ou trois ans peuvent désormais être exploitées en quelques heures au lieu de plusieurs semaines, rendant les backlogs sécurité des organisations de plus en plus attractifs pour les attaquants. Le « catalogue d’anciennes failles » est activement exploité, car il est plus facile d’attaquer l’existant que de découvrir de nouvelles vulnérabilités.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks